Часть 2. Техническая диагностика

4. Основные принципы проектирования средств диагностирования

1. Назначение и достоверность средств диагностирования

Когда говорят о назначении средств диагностирования (СД), обычно называют две основные задачи, которые они призваны решать. Первая задача состоит в определении технического состояния рассматриваемой системы – работоспособного или неработоспособного. В этом случае СД должны либо обнаружить отказ, либо констатировать отсутствие в системе каких-либо отказов. Эту задачу часто называют задачей контроля. Вторая задача, решаемая СД, состоит в поиске места отказа в системе. Ее обычно называют диагностикой. Далее, говоря о диагностировании (задаче диагностирования), мы будем иметь в виду одну из этих двух задач и будем конкретизировать вид задачи, когда изложение этого потребует.

СД находят применение на всех этапах жизни любой системы [22]. Они используются как технологические средства при создании системы и ее отладке. Они играют важнейшую роль и на этапе применения системы по прямому назначению. Причем их качество существенно влияет на надежность системы. В этом случае применяются как встроенные, так и внешние СД, как СД работающие в реальном времени, так и СД, анализирующие работу системы в режиме постанализа. Также велика роль СД на этапе восстановления системы после отказа.

Средства диагностирования подразделяются на тестовые [18, 22] и функциональные [12, 14, 18, 21 23]. При этом соответственно говорят о тестовом диагностировании (ТД) и функциональном диагностировании (ФД). В первом случае диагностирование осуществляется на основе специально формируемых тестовых воздействий во время перерывов в функционировании диагностируемой системы (ДС) или ее подсистемы по прямому назначению (рис. 4.1,а), во втором – на основе рабочих воздействий в процессе функционирования диагностируемой системы или ее подсистемы по прямому назначению (рис. 4.1,б). Простейшим примером средств функционального диагностирования может быть сопоставление выходного напряжения источника питания с эталоном или использование дублирующего устройства, с выходом которого в процессеработы сравнивается выход основного.

Во встроенных СД системы можно выделить отдельные средства, каждое из которых имеет свою зону ответственности, т.е. одно или более устройств системы, диагностирование которых оно осуществляет. На рис. 4.2 приведен иллюстративный пример структуры системы со встроенными СД. В систему входит четыре устройства У₁– У₄, с тремя из которых соотнесены средства диагностирования СД₁– СД₃, а с четвертым нет. Кроме того, в системе предусмотрены средства диагностирования СД, не соотнесенные с конкретными устройствами, предназначенные, например, для диагностирования связей между устройствами. По-видимому, понятно, что СД, использованные в этой системе, не являются совершенными, поскольку часть аппаратуры (по крайней мере, У₄) оказалась вне поля зрения СД. Это могло произойти по разным причинам. Среди них, прежде всего, ограниченность допустимых затрат на реализацию СД, в результате чего наиболее надежные устройства могут быть оставлены без СД. Однако причина может быть и более прозаической, например, ошибка разработчика.

Надо сказать, что разработка СД требует от инженера скрупулезности. Может быть, трудно себе представить ситуацию, когда разработчик упустил из виду необходимость диагностирования какого-либо существенного устройства системы. Однако легко предположить, что разработчик пренебрег недостаточной эффективностью СД, использованных по отношению к некоторому устройству. В результате чего у разработчика могут появиться претензии к качеству СД? Причинами могут быть либо недопустимые по его мнению аппаратурные или временные затраты, либо невозможность диагностирования с их помощью существенных для работы устройства отказов. Ответить на вопрос о допустимости или недопустимости конкретных затрат на СД бывает непросто. Часто это определяется производительностью используемого в системе компьютера. Также непросто бывает ответить на вопрос о необходимости включения того или иного отказа в число подлежащих диагностированию (класс диагностируемых отказов). Конечно, в идеале разработчик должен обладать надежной статистической информацией об интенсивностях всех возможных отказов. Тогда из списка всех возможных отказов можно было бы выбрать наиболее вероятные и только для них предусмотреть СД в составе проектируемой системы. Однако на практике такая статистика может появиться только в условиях массового производства, что трудно предположить для сложных и зачастую уникальных информационно-управляющих систем. В этом же случае разработчик может рассчитывать лишь на опыт предыдущих разработок и свою интуицию. Можно пойти по пути, нередко используемому в теоретических исследованиях диагностических проблем, когда предполагают, что отказывать может всё. Конечно, этот путь может привести к затратным решениям. Так или иначе, но формирование перечня отказов, подлежащих диагностированию, должно предварять разработку СД.

Оценка достоверности средств диагностирования

Обладая перечнем отказов, подлежащих диагностированию, можно попытаться оценить качество разработанных СД, определив интенсивность необнаруживаемых отказов. Получение этой характеристики на практике обычно вызывает затруднения. Они минимальны, когда используется формальный метод, для которого существует математическое обоснование класса диагностируемых отказов. Напротив, они велики, если рассматривается какой-либо эвристический метод. В этом случае можно попытаться решить вопрос с помощью компьютерного моделирования задачи диагностирования, когда моделируется работа системы и ее СД при разных отказах и определяется доля необнаруживаемых отказов. Ниже будем предполагать, что необходимые характеристики СД так или иначе получены.

Для разных задач технического диагностирования используются разные характеристики достоверности. Обычно эти характеристики представляют собой вероятности событий, соответствующих правильным и ошибочным решениям о техническом состоянии. Так в задаче определения вида технического состояния при работоспособном состоянии системы СД могут принять правильное решение (система работоспособна) и неправильное решение (система неработоспособна). Аналогично при неработоспособном состоянии может быть правильное и неправильное решения. Вероятности этих состояний служат характеристиками СД. Понятно, что эти характеристики, соответствующие одному и тому же техническому состоянию, дополняют друг друга до единицы, а, значит, достаточно использовать одну характеристику из пары. Чаще используют вероятности ошибочных решений. Причем ситуация, когда бракуется работоспособная система, называется ошибкой первого рода, а ситуация, когда не бракуется неработоспособная система, называется ошибкой второго рода. Последняя характеристика наиболее часто используется на практике. При этом ее называют «неполнотой» СД. Определим для системы доли обнаруживаемых и необнаруживаемых отказов интенсивностями исоответственно, причем интенсивность отказов системы равна:. Тогда неполнота СД определяется как отношение:

.

Конечно, в общем случае СД, примененные в отношении разных устройств У_iнекоторой системы, будут характеризоваться разной неполнотой α_i. Тогда неполноту α СД для системы целесообразно определить как характеристику, осредненную по всем устройствам:

, (4.1)

где λ_i - интенсивность отказовi-го устройства. В этом выражении отношениеесть вероятность отказаi-го устройства при условии, что рассматриваемая система отказала.

В задаче поиска места отказа пользуются понятием «глубина диагностирования», подразумевая под ним точность, с которой определяется местоположения отказа. По этой причине иногда вместо «глубины диагностирования» используют термин «точность диагностирования». При определении глубины диагностирования приходится учитывать два фактора. Первый и главный – это диагностическая (различающая) способность используемых СД, второй – конструктивные особенности системы (объекта диагностирования). Для обсуждения первого фактора необходимо ввести понятие эквивалентных отказов. Если говорить упрощенно, то два отказа считаются эквивалентными, когда поведение системы при наличии в ней любого из этих отказов одинаково. В результате по анализу поведения системы при любых входных последовательностях невозможно понять, какой из отказов присутствует в системе. На рис. 4.3 приведен пример, поясняющий это понятие. Здесь представлен фрагмент системы, состоящий из семи элементов. Для простоты будем считать, что элементы однотипны и представляют собой, например, усилители, а рассматриваемые отказы состоят в изменении их коэффициентов усиления. Фрагмент имеет один вход xи два наблюдаемых выходаy₁иy₂. Нетрудно понять, что отказы усилителей 1, 2 и 3 эквивалентны между собой, как и эквивалентны между собой отказы усилителей 4 и 5, а также усилителей 6 и 7. Таким образом, мы имеем три группы (класса) эквивалентных отказов, и диагностирование может осуществляться лишь с глубиной, определяемой размерами этих классов. Заметим, что любые представители разных классов различимы между собой. Так, например, отказ 1 различим с отказом 4 или 6, а отказ 4 различим с отказом 6. При разработке процедур диагностирования необходимо принимать во внимание наличие классов эквивалентных отказов, чтобы в случае, когда СД указывают, например, на отказ 1, понимать, что реально в системе может присутствовать отказ 2 или 3. Ясно, что состав и количество классов эквивалентных отказов будет изменяться при изменении набора используемых при диагностировании выходов. Так в пределе, если возможно наблюдение выхода каждого усилителя, число классов будет равно числу усилителей, а каждый класс будет включать лишь один отказ.

Измерять на практике глубину диагностирования рамками классов эквивалентных отказов весьма затруднительно, а на этапе эксплуатации системы зачастую, как это мы поймем чуть ниже, в этом и нет необходимости. Это связано с тем, что неразличимость конкретных отказов может быть вызвана не их эквивалентностью, а недостаточной развитостью используемых СД. Вполне может оказаться, что расширение используемого теста или добавление средств функционального диагностирования может сделать ранее неразличимые отказы различимыми. По этой причине глубину диагностирования на практике определяют числом конструктивных элементов, отказы которых не различаются используемыми СД. С точки зрения процедуры восстановления любая система состоит из некоторых «кирпичиков» – так называемых типовых элементов замены (ТЭЗ). Дубликаты ТЭЗов хранятся на объекте эксплуатации в так называемом ЗИПе (запасное имущество прибора) и извлекаются оттуда при восстановлении системы. При этом можно заменить лишь соответствующий ТЭЗ, но нельзя заменить только конструктивный элемент, входящий в ТЭЗ. В связи с этим на практике принято определять глубину диагностирования в ТЭЗах. Очевидно, что в общем случае одному ТЭЗу соответствует не один класс эквивалентных отказов. При этом совершенно не обязательно, чтобы границы каждого из этих классов оказались в пределах одного ТЭЗа. В результате при появлении отказа из такого «разорванного» класса процедура диагностирования должна подозревать все ТЭЗы, содержащие отказы этого класса. Типичным для практики требованием к СД системы является глубина диагностирования 1–2 ТЭЗ.

Таким образом, ясно, что глубина диагностирования определяется свойствами СД, а также конструктивными и функциональными особенностями конкретной системы. Путем анализа используемых СД множество ТЭЗов диагностируемой системы может быть разбито на группы ТЭЗов, отказы которых неразличимы между собой. Численность этих групп может быть неодинакова. На рис. 4.4 приведен иллюстративный пример разбиения ТЭЗов системы на группы, различимые примененными СД. Эти группы разделены штриховыми линиями. В данном случае таких групп четыре. Первая и четвертая группы содержат по четыре ТЭЗа (ТЭЗ₁₁– ТЭЗ₁₄ и ТЭЗ₄₁– ТЭЗ₄₄), вторая группа – два ТЭЗа (ТЭЗ₂₁и ТЭЗ₂₂), третья – три ТЭЗа (ТЭЗ₃₁– ТЭЗ₃₃). В результате при возникновении какого-либо отказа данные СД указывают на одну из четырех групп ТЭЗов, не уточняя, где конкретно находится отказ. Возникает вопрос, как в данном случае определить значение глубины диагностирования δ? Можно принять, что глубина диагностирования равна наихудшему значению, т.е. четырем. Однако эту оценку нельзя принять полностью удачной, поскольку она не вполне отражает всю картину в целом. Ведь может оказаться, что отказы в устройствах наибольшей группы маловероятны и будут происходить редко, а чаще будут происходить отказы из меньших групп, и, значит, в среднем картина будет более благоприятной. Эти соображения свидетельствуют в пользу применения в качестве характеристик осредненных величин.

, (4.2)

где λ_j - интенсивность отказов j-й группы, λ – интенсивность отказов системы. В этом выражении отношение есть вероятность отказа j-й группы при условии, что рассматриваемая система отказала.

В задаче поиска места отказа так же, как и в задаче определения технического состояния, в качестве характеристик СД используются вероятности правильных и ошибочных решений (обычно ошибочных). Прежде всего, это - вероятность того, что в результате поиска отказа в неработоспособной системе принимается решение о наличии отказа в данном устройстве (группе устройств) системы при условии, что этот отказ в данном устройстве (группе устройств) отсутствует.

Предварительно все отказы рассматриваемой системы разбиваются разработчиком СД на m групп так, что отказы, принадлежащие разным группам, различаются примененными СД, а отказы, принадлежащие одной группе, не различаются. При этом в каждой из полученных групп в общем случае могут находиться отказы более чем одного модуля. Указанное разбиение осуществляется в результате ручного или автоматического (путем моделирования) логического анализа работы системы совместно с СД при всех рассматриваемых отказах.

Методика оценки вероятности ошибки диагностирования сформулирована в предположении определенной процедуры восстановления, содержание которой определяется традиционным для практики требованием к глубине диагностирования – 1–2 ТЭЗ. При этом элементы замены, представленные в каждой j-й группе, упорядочиваются в порядке увеличения их надежности. Надежность i - го ТЭЗ в каждой j-й группе определяется значением интенсивности λ_ji отказов. В случае если СД системы указывает на отказ из j-й группы, то осуществляется замена наиболее ненадежного ТЭЗ. Если после замены прибор по-прежнему неисправен, то заменяется второй в этом списке ТЭЗ и т.д. При этом последовательная замена первых двух модулей считается допустимой, а трех и более - ошибкой диагностирования. В результате вероятность ошибки диагностирования элемента замены при условии, что отказ произошел в j-й группе, определяется отношением

, (4.3)

где и- интенсивности отказов первого и второго ТЭЗj-й группы, - интенсивности отказов всех ТЭЗ изj-й группы.

Оценку для вероятности ошибки диагностирования в системе получаем путем осреднения по всем группам:

(4.4)

Влияние средств диагностирования на надежность системы

Очевидно, что эффективность этих средств влияет на надежность системы, поскольку от их работы зависит своевременность проведения процедур восстановления. Не углубляясь в этот достаточно сложный вопрос, рассмотрим простейшие примеры. Сначала предположим, что система безызбыточна и восстанавливаема. Такую систему удобно характеризовать коэффициентом готовности (2.5). Очевидно, что эта характеристика надежности учитывает влияние средств диагностирования, поскольку в выражение для ее вычисления входит среднее время восстановления. В свою очередь, время восстановления складывается из времени поиска отказа и времени ремонта. Понятно, что время поиска отказа является одной из характеристик используемых в системе средств диагностирования.

Теперь рассмотрим избыточную систему, в которой используется «холодное» резервирование. Пусть СД, используемые в системе, обнаруживают лишь часть отказов. Тогда надежность контролируемой части системы в случае «холодного» резервирования определяется выражением (2.2), а надежность неконтролируемой части выражением (1.7) для надежности нерезервированной системы. В результате надежность системы с несовершенными СД определяется произведением этих выражений

.

Видно, что надежность такой системы может быть существенно ниже, нежели у системы с совершенными СД (2.2).